Userbase

https://www.dns0.eu/

Heeft er iemand ervaring of meer info over dit initiatief? Wie beheert het?

“dns0.eu is a French non‑profit organization founded in 2022 by Romain Cointepas and Olivier Poitrey — co-founders of NextDNS.”

https://tweakers.net/nieuws/206436/fran ... kbaar.html

Als ik eens tijd heb zet ik mijn cloudflare DNS-over-TLS pfSense config waarschijnlijk hier naar over, blijkbaar zitten ze ook in België, dus ik hoop dat de latency ok is.

Ik draai mijn eigen dns (ook redundant) Maar dit ziet er wel een mooi initiatief uit.

Ik gebruik nextdns op m'n mobiele toestellen als ik niet thuis ben, die zitten achter dns0 en bieden ook adblock aan (zonder dat je vpn/root nodig hebt)

Thuis ben ik wel overgestapt op m'n eigen recursive dns, maar beide wat een behoorlijke snelheidswinst heeft opgeleverd qua dns resolving.

Sent from my SM-S908B using Tapatalk

Luister eens naar de Tweakers podcast het begin, daar gaat het over deze Europese DNS resolver.


Goed initiatief, maar ze willen wel zaken filteren, daar zit het gevaar in.
Dat ze dingen gaan filteren.

Cloudflare is hier buitengevlogen en heb nu deze ingesteld voor DNS-over-TLS.
Tot op heden nog geen negatieve punten kunnen vaststellen.

Wat is er mis met de Cloudflare DNS?

Op zich waarschijnlijk niets of niet veel, maar als ze teveel aandeel krijgen is dat geen goede zaak. De kleine garnaal met goede bedoelingen krijgt daarom van mij ook wat sneller een kans.

Misschien ga 'k dat ook eens bekijken.

Draai zelf momenteel ook mijn eigen DNS servers, één Pihole via unraid docker en nog een backup op een Pi, beide met Unbound voor recursieve DNS.

NextDNS hebben we hier ook al gebruikt.
Maar om een of andere reden duren de DNS-vertalingen te lang.
Vermoedelijk door de instellingen dat die quasi op ZERO ingesteld stonden.
Op de kinderen hun iPad/laptop ga ik die KIDS eens instellen.

Misschien beetje off-topic, maar vraagje voor de self-hosters: wat is volgens jullie de beste afweging qua privacy:

1. Een gewone DNS forwarder gebruiken met DoH/DoT voor de upstream transport beveiliging. Je ISP kan geen queries meelezen, maar de upstream server ziet wel alles.
2. Zelf recursive DNS hosten. Geen ene DNS server ziet de volledige query, maar de upstream recursive queries zijn niet encrypted dus je ISP (ofwel die van thuis of van je hosting provider) kan nu wel meelezen.

Wat vinden jullie de beste afweging? Ik gebruik nu het eerste: een forwarder met DoH naar de upstream. Gebruik sinds een weekje dns0 als enige server om te testen en dat werkt voorlopig goed. Mijn gedacht is dat mijn ISP weet wie ik persoonlijk ben, terwijl ik maar een nummer ben voor een publieke DNS resolver. Als je dan nog verschillende upstreams gebruikt ligt de data niet bij 1 enkele partij. Uiteraard hebben ze met mijn 'nummer' een goudmijn aan informatie waarmee ze mij online wel kunnen tracken, maar ze kunnen dat niet zomaar koppelen aan mijn identiteit (of althans toch veel moeilijker dan voor de ISP).

Langs de andere kant: in België zijn ISPs zeer beperkt met wat ze met die informatie mogen doen. Ze mogen dit voor zover ik weet niet voor commerciële doeleinden gebruiken, terwijl een publieke resolver dat wel kan/mag. Dus misschien is de data bij de (Belgische) ISP leggen toch de betere keuze?

Gewoon beide? Hier pfSense met unbound resolver en encryptie naar dns0 (waarbij de requests ook gestript worden van onnodige data).

Als je wilt kan je een VPS huren, en een VPN tunnel opzetten tussen je lokale router en de VPS, en daar unbound op draaien welke gaat recursen.

Voordelen:
* lokale ISP kan niks meelezen
* zelf controle, niet afhankelijk van een 3rd party

Nadelen:
* Vanaf de VPS is het niet meer encrypted
* mogelijks een klein beetje vertraging (al zal dat als je bvb wireguard gebruikt weinig verschil geven tov een DoH of DoT upstream)
* Als je VPN eruit ligt gedaan met resolven

NuKeM schreef: 16 feb 2023, 18:59 Gewoon beide? Hier pfSense met unbound resolver en encryptie naar dns0 (waarbij de requests ook gestript worden van onnodige data).

Maar dan doe je toch geen recursie meer? Je gebruikt unbound dan gewoon als forwarder. Of bedoel je dat unbound per query kan afwisselen tussen recursive en forwarding?

devilkin schreef: 16 feb 2023, 21:22 * Vanaf de VPS is het niet meer encrypted

Uhu, het 'probleem' blijft hetzelfde, enkel nu bij de VPS host. Ik denk niet dat dit echt beter is qua privacy.

gm123 schreef: 16 feb 2023, 22:50 Maar dan doe je toch geen recursie meer? Je gebruikt unbound dan gewoon als forwarder. Of bedoel je dat unbound per query kan afwisselen tussen recursive en forwarding?

Is inderdaad geen recursie, maar een forwarder.

gm123 schreef: 16 feb 2023, 22:50 Uhu, het 'probleem' blijft hetzelfde, enkel nu bij de VPS host. Ik denk niet dat dit echt beter is qua privacy.

Het hangt en staat allemaal bij je threat model, en wat je wenst te bereiken.

Ofwel ziet je ISP de uitgaande DNS traffiek (of toch alles wat niet in je lokale cache zit)
Ofwel ziet je DNS provider (dns0 hier) de DNS aanvragen
Ofwel ziet je VPS provider de uitgaande DNS traffiek (maar weer recursion)

Aan ieder de keuze van waar ze hun vertrouwen in leggen, maar vertrouwen ga je *ergens* moeten leggen.

Het grote voordeel aan lokale recursie is dat je minder vertrouwen bij 1 partij moet leggen - en adhv DNSSEC zit je nog vrij veilig dat er geen DNS poisoning gaat gebeuren.
Het grote voordeel aan een forwarder zoals dns0, nextdns, cloudflare, 9.9.9.9, ... is dat je traffiek encrypted is tot aan de DNS hoster. Vanaf dan moet je hun 100% vertrouwen.

devilkin schreef: 17 feb 2023, 07:47 Ofwel ziet je ISP de uitgaande DNS traffiek (of toch alles wat niet in je lokale cache zit)
Ofwel ziet je DNS provider (dns0 hier) de DNS aanvragen
Ofwel ziet je VPS provider de uitgaande DNS traffiek (maar weer recursion)

Ofwel gaan we met zijn allen IP(v6)-adressen vanbuiten leren en is DNS geen probleem meer

devilkin schreef: 17 feb 2023, 07:47 Is inderdaad geen recursie, maar een forwarder.

Sorry, jullie hebben inderdaad gelijk.